Erreur d' ID utilisateur sans agent'accès refusé'dans le moniteur du serveur

Demande client

Lors de L'utilisation de l'ID utilisateur sans agent, l'état indique que l' accès est refusé sous surveillance du serveur:

Cause

Vérifier la useridd.log

1. Exécutez la commande suivante:
   > moins MP-log useridd. log
2. Allez à la fin du fichier en appuyant sur Maj + G sur le clavier. Si l'erreur suivante apparaît dans les journaux, le problème est probablement causé par un problème d'autorisations: la
   requête de journal pour snt016 a échoué: [WMI/WMIC. c: 200: main ()] erreur: connexion à l'objet distant.
3. En outre, si l’erreur « NT_STATUS_NET_WRITE_FAULT » apparaît dans les entrées du journal, cela indique un que caractère spécial est utilisé dans le mot de passe du compte de service. Ce mot de passe doit être réinitialisé.

Résolution

Reportez-vous au document suivant pour la configuration correcte de l'ID utilisateur sans agent: Comment faire pour configurer l'ID utilisateur sans agent

Vérifiez les paramètres d’autorisation sur le serveur Windows 2008/2012 pour l’accès de journal des événements WMI de l’ID utilisateur sans agent :

• Tous les utilisateurs de périphérique sont assignés à un groupe. Ce groupe doit être créé comme un « groupe universel », donc il peut être utilisé sur plusieurs domaines. Le groupe nouvellement créé doit être ajouté au groupe intégré, « Lecteurs du journal des événements », pour permettre la lecture des journaux de sécurité du contrôleur de domaine Active Directory ou Microsoft Exchange Server. Il devrait également être ajouté au groupe d’utilisateurs « Utilisateurs Distributed COM » pour permettre la connexion d’accès distante via DCOM.
• Si le groupe d’utilisateurs puissent accéder aux journaux de sécurité de tous les serveurs du domaine, une autorisation correspondante peut être réglée via les objets de stratégie de groupe Microsoft Active Directory.
  

Autorisations WMI

• Pour le serveur Windows 2008/2012, le système d’autorisation pour accéder à distance aux serveurs et aux ressources locales a été radicalement changé de versions antérieures. Ces changements exigent certaines autorisations des API WMI pour qu’ID utilisateur accéder aux journaux d’événements de sécurité à distance.
• Sur les serveurs Windows spécifiques qui doivent surveiller, ouvrez la console de gestion WMI (« wmimgmt.msc »). Sélectionnez les propriétés de contrôle WMI locales, puis modifiez les paramètres de « Sécurité ». Accédez à la section « CIMV2 » et cliquez sur « Sécurité ». Ajouter le groupe d’utilisateurs créés pour les utilisateurs de pare-feu à la liste des utilisateurs autorisés et des groupes et activez les autorisations « Activer le compte », « Activer à distance » et « Sécurité de lecture ».
  

Paramètres de GPO

• Par ailleurs, afin de permettre au groupe d’utilisateur nouvellement créé accéder à tous les journaux de sécurité sur tous les serveurs du domaine, définir l’objet de stratégie de groupe correspondant au lieu d’ajouter individuellement le groupe aux groupes locaux. Ceci est nécessaire, étant donné que cette autorisation est une autorisation locale sur les serveurs du domaine.
• Reportez-vous au document suivant pour la configuration de GPO: utilisation de GPO Active Directory pour installer le client global Protect.

Si le problème n’est toujours pas résolu, prendre le paquet de captures sur le contrôleur de domaine afin de déterminer l’échec de l’authentification et de contacter le support de Palo Alto Networks.

propriétaire : pvemuri